中国反病毒小组网2010年10月19日消息: 病毒标签


病毒名称： Trojan/Win32.Magania.bwsi[GameThief]
病毒类型： 木马
文件 MD5： C4B3397FDEF89787F278DCE015E01808
公开范围： 完全公开
危害等级： 3
文件长度： 30,841 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： UPX


病毒描述


该恶意代码文件为魔兽世界游戏盗号木马，病毒运行后遍历系统目录查找相同文件名找到后删除文件再衍生相同文件名的病毒文件到%Windir%\Downloaded Program Files\目录下，防止多个病毒文件产生的冲突，调用病毒自定义的函数“JUFndB4pARSJ”模块来提升进程权限，添加注册表病毒的CLSID值、HOOK启动项，删除System32%目录下的verclsid.exe文件，病毒运行完毕后使用CMD命令删除自身文件，试图将病毒DLL注入到所有进程中、安装消息钩子截取用户账号信息，读取游戏wtf目录下config.wtf配置文件获取用户账户信息后通过URL方式将截取账户信息及截取到得图片发送到作者指定的地址中。

行为分析-本地行为


1、文件运行后会释放以下文件
%Windir%\Downloaded Program Files\SvS2DJAqqTvtTYEU.Ttf
%Windir%\Downloaded Program Files\SjRjQgREDp3P8B4rEEg.cur

2、新增注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84639C2D-CD75-4081-B515-329AFCECBF19}\InprocServer32\@
值: 字符串: "C:\WINDOWS\system32\SrNRKs5F7Rkv9hp.inf"
描述：添加病毒注册表CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{84639C2D-CD75-4081-B515-329AFCECBF19}
值: <值未设置>
描述：添加病毒HOOK启动项

3、调用病毒自定义的函数“JUFndB4pARSJ”模块来提升进程权限，添加注册表病毒的CLSID值、HOOK启动项，删除System32%目录下的verclsid.exe文件，病毒运行完毕后使用CMD命令删除自身文件，试图将病毒DLL注入到所有进程中、安装消息钩子截取用户账号信息，读取游戏wtf目录下config.wtf配置文件获取用户账户信息。

行为分析-网络行为


将截取到游戏账户信息以ULR方式通过以下参数回传到作者地址中
?a=%s&u=%s&c=%s&mb=%s




--------------------------------------------------------------------------------

清除方案


手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具
（1）使用ATOOL管理工具，进程管理卸载被注入的病毒模块SjRjQgREDp3P8B4rEEg.cur

（2）删除病毒文件
%Windir%\Downloaded Program Files\SvS2DJAqqTvtTYEU.Ttf
%Windir%\Downloaded Program Files\SjRjQgREDp3P8B4rEEg.cur

（3）删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84639C2D-CD75-4081-B515-329AFCECBF19}\InprocServer32\@
值: 字符串:
"C:\WINDOWS\Downloaded Program Files\SjRjQgREDp3P8B4rEEg.cur"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{84639C2D-CD75-4081-B515-329AFCECBF19}